Gefahr durch mobile Geräte

Dr. Jakob Jung,
NewsProdukte

Weil Nutzer immer mehr auf mobile Geräte stehen, gibt es auch neue Gefahren. Mobile Geräte wie Notebooks, Tablets oder Smartphones unterliegen dem Risiko von Diebstahl oder Verlust. Besonders bedenklich sind die auf den Devices hinterlegten Kennungen und Passwörter, sagt Sicherheitsspezialist Cyber-Ark. Bereits bei Accounts von Nutzern mit relativ eingeschränkten Rechten besteht bereits ein kleines Einfallstor in die Unternehmens-IT. Schwerwiegender ist der Schaden, wenn das Admin-Passwort eines Rechners bekannt ist oder leicht erraten werden kann. Jeder, der in den Besitz einer solchen Information kommt, kann potenziell einen schweren Schaden verursachen. Viele Manipulationen sind vorstellbar, vom einfachen Ausspähen von betriebsinternen Daten bis hin zu Manipulationen an der Unternehmens-IT, um beispielsweise Schlupflöcher für weiteren illegalen Zutritt zu schaffen.

Cyber-Ark empfiehlt neben dem herkömmlichen Passwort-Schutz biometrische Scans, sofern sie das Gerät anbietet. Bei Smartphones empfiehlt sich eine alphanumerische Kennwort-Kombination anstelle eines Vierzifferncodes oder “Wischmusters”. Notebooks und Netbooks sollten durch die Einrichtung eines zusätzlichen BIOS-Passworts gesichert werden.

Auf Reisen in für Industriespionage bekannte Staaten wie beispielsweise China ist besonders daran zu denken, dass die Entwendung mobiler Geräte wohl zu den üblichen Vorgehensweisen bei der illegalen Beschaffung von Betriebsgeheimnissen gehört. Die Ausspähung von Daten droht aber auch von sonst befreundeten Nationen. Beim Grenzübertritt in die USA ist das Heimatschutzministerium im Rahmen des Patriot Act befugt, mobile Geräte einzuziehen und die darauf gespeicherten Daten zu überprüfen. Daher sollten sich möglichst keine sensiblen Daten auf den Geräten bei Grenzübertritt befinden. Sie können später im Hotel oder Tagungsort über das Internet gesichtet oder nachgeladen werden.

Auch eine Beschränkung bei lokaler Datenhaltung ist sinnvoll. Grundsätzlich ist zu überprüfen, welche Daten auf mobilen Geräten erforderlich sind. Die mitgeführten Daten sind auf das Minimum zu beschränken. Sensible Daten können durch eine VPN-Verbindung (Virtual Private Network) vom zentralen Unternehmensserver geladen werden, die am besten in verschlüsselter Form gespeichert sind. Nicht benötigte Daten sollten zuverlässig gelöscht und die entsprechenden Sektoren überschrieben werden. Herkömmliches “Löschen” reicht nicht aus, da nur der Dateiname und die Verknüpfung zum Speicherort gelöscht werden, nicht die Information selbst. Aus diesem Grund ist von der Benutzung von USB-Sticks in Zusammenhang mit sensiblen Daten abzuraten, da hier eine zuverlässige Löschung nicht funktioniert. Sofern nicht vorhanden, sind unternehmensweite Sicherheitsrichtlinien anzulegen oder vorhandene anzupassen.

Illegal genutzte Identitäten öffnen Dieben Tür und Tor. Die Einführung eines Identitätsmanagements wie Einmal-IDs, kontrollierte und auch nachvollziehbare Zugriffe für privilegierte Accounts, die systematische Verwaltung von Anwender- und Dienstzugangsdaten sowie eine Richtlinienverwaltung sind daher essenziell. Diesen Schutz gibt der Privileged Identity Manager von Cyber-Ark, der privilegierte IDs verwaltet. Er befindet sich zwischen dem Nutzer und dem eigentlichen System. Durch eine vergebene Einmal-ID meldet sich der Nutzer am Session Manager an. Dieser wiederum nutzt die eigentliche privilegierte ID, um ihn mit seinem Account zu verbinden. Der Vorteil liegt darin, dass die Anmelde-Informationen nicht nach außen dringen können. Somit ist ein Identitätsdiebstahl nicht möglich. Auch zeichnet der zwischengeschaltete Session Manager sämtliche Aktivitäten des Nutzers auf. Einmal-IDs sind für Diebe nutzlos. Damit bleiben sie zuverlässig aus der Unternehmens-IT ausgesperrt.

Viele Unternehmen verlassen sich bei der gemeinsamen Nutzung von Daten auf einen FTP-Zugang. Dieser stellt jedoch ein erhebliches Risiko dar, da Passwörter klar und unverschlüsselt auf den Rechnern hinterlegt sind. Besser ist es, einen kontrollierten Datenaustausch mit einem Übertragungsportal zu nutzen. Es isoliert sensible Daten zur Übertragung und verteilt sie an die Benutzer. Das Übertragungsportal sollte dabei Ad-hoc-, manuelle und automatisierte Dateiübertragung beherrschen. Es empfiehlt sich, Daten wie in einem Banktresor zu halten. Hier erhält jeder Nutzer nur den Zugriff zu seinem persönlichen Datenschließfach, nie zum gesamten Tresor. Er arbeitet mit einer proprietären Technologie auf einem eigenen Server und damit nicht mit anderen Anwendungen zusammen. Das macht ihn sicher. Die Übertragung geschieht verschlüsselt über VPN. Zusätzlich kann auch nach geografischen Gesichtspunkten unterschieden werden. Unsichere Länder und Regionen kann etwa die Vaulting-Technologie von Cyber-Ark auf Wunsch ausschließen.

Schlüsselelement für den Schutz kritischer Daten ist eine sichere Plattform zur Verwaltung sensibler Daten. Voraussetzung dafür ist der Aufbau eines sicheren Netzwerks für ihre Bereitstellung. Die sichere Speicherung von Zahlungsdaten, der Nachverfolgung ihrer Verwendung und der Schutz personenbezogener Dokumente sind Bestandteile eines solchen Konzepts. Dafür ist ein System mit zehn integrierten Sicherheitsebenen empfehlenswert.